Mengamankan Aplikasi PHP dengan SuExec - dummies

Video: Membuat Security Akses Page Login dan Dashboard (4) 2024

Jika aplikasi Anda berjalan di Apache (lebih dari setengahnya situs web di Internet), Anda mungkin ingin mempertimbangkan untuk mengaktifkan SuExec dalam konfigurasi Apache Anda. SuExec adalah mekanisme yang digabungkan dengan Apache yang menyebabkan skrip dijalankan sebagai pengguna yang memiliki skrip, daripada menjalankannya sebagai pengguna server web.

Di lingkungan non-SuExec, semua skrip dijalankan sebagai ID pengguna yang sama dengan server web itu sendiri. Sayangnya, satu skrip yang rentan dapat memberi akses ke pintu belakang pengguna jahat ke seluruh server web, termasuk skrip yang berjalan di situs lain yang dihosting di server yang sama.

SuExec mencoba untuk mengurangi masalah ini dengan membatasi aplikasi web ke area mereka sendiri dan menjalankannya di bawah ID pengguna pemilik mereka, bukan di bawah ID pengguna server web. Misalnya, skrip ini akan berjalan di bawah ID pengguna jsmith:

/ home / ~ jsmith / public_html / scripts / please_hack_me. php

Pengguna jahat dapat memanfaatkan skrip ini, namun dia hanya dapat mengakses file dan program yang pengguna jsmith diizinkan untuk menggunakannya. Setiap pengguna lain di server akan terlindungi dari skrip jsmith yang tidak aman.

, atau beberapa situs web independen yang secara fisik berada pada server web yang sama, bisa jadi rumit. SuExec dirancang untuk menjalankan skrip yang ada di root dokumen server web. Kebanyakan host virtual dibuat dengan cara yang memberi masing-masing situs web sebagai root dokumennya sendiri, dan masing-masing akar dokumen situs tidak terletak di bawah akar dokumen server web. Untuk mengatasi pembatasan ini, administrator sistem harus menambahkan setiap akar dokumen virtual host ke variabel akar dokumen server web di file konfigurasi Apache.

SuExec juga mensyaratkan agar skrip PHP dijalankan sebagai Common Gateway Interface (CGI), yang lebih lambat daripada menjalankan PHP sebagai modul yang telah dikompilasi di bawah Apache. CGI adalah model pertama yang bisa diterapkan untuk aplikasi web, dan masih digunakan untuk skrip sederhana. Namun, begitu Anda meninggalkan dunia skrip PHP dan mulai menulis aplikasi lengkap, Anda memerlukan peningkatan kinerja PHP yang telah dikompilasi.

Untuk server web yang cukup sederhana, SuExec dapat menyimpan satu aplikasi yang tidak aman dari menginjak-injak segala hal lainnya. Namun, di lingkungan yang lebih kompleks dengan server virtual, modul yang telah dikompilasi, dan puluhan atau ratusan pengguna, Anda memerlukan model keamanan yang sedikit lebih kuat.